S. K. Ganiyev, M. M. Karimov, K. A. Tashev
Yüklə 7,8 Mb. Pdf görüntüsü
|
|
Tatbiqiy sath shlyuzi
(ekranlovchi shlyuz deb ham yuritiladi) OSI modelining tatbiqiy sathida ishlab, taqdimiy sathni ham qamrab oladi va tarmoqlararo aloqaning eng ishonchli himoyasini ta’min laydi. Tatbiqiy sath shlyuzining himoyalash funksiyalari, seans sathi shlyuziga o‘xshab, vositachilik funksiyalariga taalluqli. Ammo, tat biqiy sath shlyuzi seans sathi shlyuziga qaraganda himoyalashning ancha ko‘p funksiyalarini bajarishi mumkin: - brandmauer orqali ulanishni o‘matishga urinishda foydala- nuvchilami identifikatsiyalash va autentifikatsiyalash; - shlyuz orqali uzatiluvchi axborotning haqiqiyligini tekshirish; - ichki va tashqi tarmoq resurslaridan foydalanishni cheklash; - axborot oqimini filtrlash va o‘zgartirish, masalan, viruslami dinamik tarzda qidirish va axborotni shaffof shifrlash; - hodisalami qaydlash, hodisalarga reaksiya ko‘rsatish hamda qaydlangan axborotni tahlillash va hisobotlami generatsiyalash; - tashqi tarmoqdan so‘raluvchi ma’lumotlami keshlash. Tatbiqiy sath shlyuzi funksiyalari vositachilik funksiyalariga taalluqli bo‘lganligi sababli, bu shlyuz universal kompyuter hisob lanadi va bu kompyuterda har bir xizmat ko‘rsatiluvchi tatbiqiy pro- tokol (HTTP, FTP, SMTP, NNTP va h.) uchun bittadan vositachi dastur (ekranlovchi agent) ishlatiladi. TCP/IPning har bir xizmati- ning vositachi dasturi (applicationproxy) aynan shu xizmatga taal luqli xabarlami ishlashga va himoyalash funksiyalarini bajarishga mo‘ljallangan. Tatbiqiy sath shlyuzi mos ekranlovchi agentlar yordamida kimvchi va chiquvchi paketlami ushlab qoladi, axborotni nusxalaydi va qayta jo ‘natadi, ya’ni ichki va tashqi tarmoqlar orasidagi to‘g‘ridan-to‘g‘ri ulanishni istisno qilgan holda, server-vositachi fimksiyasini bajaradi (8.9-rasm). 209 8.9-rasm. Tatbiqiy shlyuzning ishlash sxemasi. Tatbiqiy sath shlyuzi ishlatadigan vositachilar seans sathi shlyuzlarining kanal vositachilaridan jiddiy farqlanadi. Birinchidan, tatbiqiy sath shlyuzlari muayyan ilovalar (dasturiy serverlar) bilan bog‘langan, ikkinchidan, ular OSI modelining tatbiqiy sathida xa barlar oqimini filtrlashlari mumkin. Tatbiqiy sath shlyuzlari vositachi sifatida mana shu maqsadlar uchun maxsus ishlab chiqilgan TCP/IPning muayyan xizmatlarining dasturiy serverlari - HTTP, FTP, SMTP, NNTP va h. - serverlari- dan foydalanadi. Bu dasturiy serverlar brandmauerlarda rezident re- jimida ishlaydi va TCP/IPning mos xizmatlariga taalluqli himoya lash funksiyalarini amalga oshiradi. UDP trafigiga UDP-paketlar tarkibining maxsus translyatori xizmat ko‘rsatadi. Ichki tarmoq ishchi serveri va tashqi tarmoq kompyuteri ora sida ikkita ulanish amalga oshiriladi: ishchi stansiyadan brand- mauergacha va brandmauerdan belgilangan joygacha. Kanal vosita chilaridan farqli holda, tatbiqiy sath shlyuzining vositachilari faqat o‘zlari xizmat qiluvchi ilovalar generatsiyalagan paketlami o‘tka- zadi. Masalan, HTTP xizmatining vositachi-dasturi faqat shu xizmat generatsiyalagan trafikni ishlaydi. 210 Agar qandaydir ilovada o‘zining vositachisi bo‘lmasa, tatbiqiy sathdagi shlyuz bunday ilovani ishlay olmaydi va u blokirovka qili- nadi. Masalan, agar tatbiqiy sathdagi shlyuz faqat HTTP, FTP va Telnet vositachi-dasturlaridan foydalansa, u faqat shu xizmatlarga tegishli paketlami ishlaydi va qolgan xizmatlaming paketlarini blokirovka qiladi. Tatbiqiy sath shlyuzi vositachilari, kanal vositachilaridan farqli holda, ishlanuvchi ma’lumotlar tarkibini tekshirishni ta’minlaydi. Ular o‘zlari xizmat ko‘rsatadigan tatbiqiy sath protokollaridagi ko- mandalaming alohida xillarini va xabarlardagi axborotlami filtrlash- lari mumkin. Tatbiqiy sath shlyuzini sozlashda va xabarlami filtrlash qoida- larini tavsiflashda quyidagi parametrlardan foydalaniladi: servis no- mi, undan foydalanishning joiz vaqt oralig‘i, ushbu servisga bog'liq xabar tarkibiga cheklashlar, servis ishlatadigan kompyuterlar, foyda lanuvchi identifikatori, autentifikatsiyalash sxemalari va h. Tatbiqiy sath shlyuzi quyidagi afzalliklarga ega: - aksariyat vositachilik funksiyalarini bajara olishi tufayli lokal tarmoq himoyasining yuqori darajasini ta’minlaydi; - ilovalar sathida himoyalash ko‘pgina qo‘shimcha tekshirish- lami amalga oshirishga imkon beradi, natijada dasturiy ta’minot kamchiliklariga asoslangan muvaffaqiyatli hujumlar o‘tkazish ehti- molligi kamayadi; - tatbiqiy sath shlyuzining ishga layoqatligi buzilsa, bo‘linuv- chi tarmoqlar orasida paketlaming to‘ppa-to‘g‘ri o‘tishi blokirovka qilinadi, natijada rad qilinishi tufayli himoyalanuvchi tarmoqning xavfsizligi pasaymaydi. Tatbiqiy sath shlyuzining kamchiliklariga quyidagilar kiradi: - narxining nisbatan yuqoriligi; - brandmaueming o‘zi hamda uni o‘matish va konfiguratsiya- lash muolajasi yetarlicha murakkab; - kompyuter platformasi unumdorligiga va resurslari hajmiga qo‘yiladigan talablaming yuqoriligi; - foydalanuvchilar uchun shaffoflikning yo‘qligi va tarmoqlar aro aloqa o‘matilishida o‘tkazish qobiliyatining susayishi. Oxirgi kamchilikka batafsil to‘xtalamiz. Vositachilar server va mijoz orasida paketlar uzatilishida oraliq rolini bajaradi. Avval vosi- 211 tachi bilan ulanish o‘matiladi, so‘ngra vositachi adresat bilan ula nishni yaratish yoki yaratmaslik xususida qaror qabul qiladi. Mos holda tatbiqiy sath shlyuzi ishlashi jarayonida har qanday ruxsat etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaf- foflik yo‘qoladi va ulanishga xizmat qilishga qo‘shimcha harajat sarflanadi. Tatbiqiy sath shlyuzining foydalanuvchilar uchun shaffofligi- ning yo‘qligi va tarmoqlararo aloqa o‘matilishida o‘tkazish qobili- yatining susayishi kabi jiddiy kamchiliklarini bartaraf etish maqsa- dida paketlami filtrlashning yangi texnologiyasi ishlab chiqilgan. Bu texnologiyani ba’zida Yüklə 7,8 Mb. Dostları ilə paylaş:
|